Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    Pessoal, eu nao entendo, deixo o Policiamento FORWARD com DROP , nao libero nada no FORWARD, mas mesmo assim funciona tudo !

    IF_INTERNA="eth0"
    IF_EXTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"

    echo "1"> /proc/sys/net/ipv4/ip_forward

    iptables -F
    iptables -Z
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP





    coloquei isso acima para ter uma idéia...
    Está funcionando tudo normal a internet com isso.

    Nem adianta eu digitar isso para liberar o navegado~r
    iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT

    Não sei o motivo, mas está liberando tudo mesmo como DROP.

    Alguém que manda bem em iptables pode me dar uma força ?
    Muito Obrigado

  2. #2
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    Tente por

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    antes de

    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

    pra ficar assim:

    IF_INTERNA="eth0"
    IF_EXTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"

    iptables -F
    iptables -Z
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    echo "1" > /proc/sys/net/ipv4/ip_forward

    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE



  3. #3
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    funciona da mesma maneira :cry:

  4. #4
    Luzumba
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    amigo nao boa...

    pra que vc. quer esse tipo de regras ?
    se na verdade ele só esta compartilhando a rede ?
    acho melhor vc. colocar DROP nas regras e refazer o seu firewall
    assim vc controla melhor a saida e entrada dos seus pacotes ok ?

    um grande abraço e se precisar de alguma ajuda

    é só msn-me



  5. #5
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    Luzumba Obrigado por sua dedicação, não posso acessar o msn agora.
    Na verdade essa regra eu só gostaria para testar, porque fiquei meio ENVOCADO, seria a palavra certa.

    Não entendo porque mesmo eu mandando drop na FORWARD, as maquinas da rede continuam navegando normalmente.


    Obrigado.

  6. #6

    Padrão Politicas do firewall

    cara eu sempre faço assim e funciona: deixo a politica como DROP no INPUT, FORWARD e tb na cadeia nat POSTROUTING, como no ex:
    IPT='/sbin/iptables'
    LANRANGE='192.168.0.0/24'

    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING DROP
    $IPT -t nat -P OUTPUT ACCEPT

    depois disso vc faz o forward e o nat apenas nas portas que vc deseja, observe o exemplo dessa operação na porta 80:

    $IPT -A FORWARD -$LANRANGE -p tcp --dport 80 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s $LANRANGE -p tcp --dport 80 -j MASQUERADE

    entendido? qualquer coisa posta ai.. flw



  7. #7
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    também não funcionou.

    Se fecho o POSTROUTING não funciona nada nem liberando.

    Grato

  8. #8
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    Po será que ninguém sabe porque o script abaixo funciona a internet normalmente ?

    Código :
    #!/bin/bash
    IF_INTERNA="eth0"
    IF_EXTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"
     
    echo "1"> /proc/sys/net/ipv4/ip_forward
     
    iptables -F
    iptables -Z
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
     
    iptables -P INPUT ACCEPT
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
     
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
     
    #iptables -t filter -A INPUT -i lo -j ACCEPT
    #iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
     
     
    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE



  9. #9

    Padrão firewall

    acho q ja descobri oq acontece ai... vc ta colocando DROP no policiamento FORWARD, porem mais abaixo esta dizendo pra liberar todos os estados NEW,ESTABLHISHED,RELATED no FORWARD.. assim funciona mesmo, pois qualquer pacote com estado novo vai passar batido...
    o ideal seria vc colocar a politica DROP, liberar a porta desejada, e liberar apenas os estados ESTABLISHED,RELATED.. como no ex abaixo:

    # variavies #
    IPT='/sbin/iptables'
    REDE='192.168.0.0/24'

    # Policiamento #
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT ACCEPT

    # abrir portas #
    $IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT

    # regras para estado das conexoes #
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    agora deve funcionar cara, mas tem q liberar outras portas, uma das mais importantes é o DNS (porta 53 tcp e udp )... senao deve ser algum bug no seu iptables.... tente atualizar ele tb.. faz o teste ai e diz se funfou...
    faloww.

  10. #10
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    realmente eu tirei e não foi mais a internet.
    Ficou assim

    Código :
    #!/bin/bash
    IF_INTERNA="eth0"
    IF_EXTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"
     
    echo "1"> /proc/sys/net/ipv4/ip_forward
     
    iptables -F
    iptables -Z
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
     
    iptables -P FORWARD DROP
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
     
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
    iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
     
     
    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE


    Só que agora para liberar a porta 80 nao foi...
    Já to doido com isso.


    seu comando
    Código :
    $IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT

    não foi.


    Obrigado



  11. #11
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    ficou assim o código
    Código :
    #!/bin/bash
    IF_EXTERNA="eth0"
    IF_INTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"
     
    echo "1"> /proc/sys/net/ipv4/ip_forward
     
    iptables -F
    iptables -Z
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
     
    iptables -P FORWARD DROP
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
     
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
     
    iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
     
     
    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE


    mas não navega ainda.

    Obrigado

  12. #12

    Padrão firewall

    Amigo libere essas portas (tcp e udp)
    21,25,53,80,110,443

    que tipo de conexao é a sua? adsl, radio, discada?
    da maquina linux (o router) vc consegue pingar e navegar normal?
    vc tem msn, icq, algo assim... pra gente ir testando em "tempo real"?



  13. #13
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    consigo do linux tudo normal...

  14. #14

    Padrão firewall

    poste aki o resultado desses dois comandos:
    iptables -L
    iptables -t nat -L



  15. #15
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    tentei liberar não da certo... o dns é só o protocolo udp também

    Era pra funcionar

    o firewall ficou assim
    Código :
    #!/bin/bash
    IF_EXTERNA="eth0"
    IF_INTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"
     
    echo "1"> /proc/sys/net/ipv4/ip_forward
     
    iptables -F
    iptables -Z
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
     
    iptables -P FORWARD DROP
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
     
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
     
    iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
     
    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

    mas não navega, to ficando doido já

  16. #16

    Padrão firewall

    baixa esse script e da uma analisada... esse é o script q eu uso em muitos clientes e funciona sem problemas.
    http://carrossa.topcities.com/linux/paredao.sh
    testa ai e me fala



  17. #17
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    não deu para acessar o site

  18. #18
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    Muda o seu script dessa forma...........

    #!/bin/bash
    IF_EXTERNA="eth0"
    IF_INTERNA="eth1"
    REDE_INTERNA="172.0.0.0/24"

    echo "1"> /proc/sys/net/ipv4/ip_forward

    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat

    => iptables -P FORWARD DROP
    => iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT

    => iptables -A INPUT -i lo -j ACCEPT
    => iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    ### Pense bem se precisa (abra p um grupo de máquinas só e limitando a porta)
    # iptables -A INPUT -i $IF_INTERNA -j ACCEPT

    => iptables -A FORWARD -i $IF_EXTERNA -m state --state NEW,INVALID -j DROP
    => iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
    => iptables -A FORWARD -i $IF_INTERNA -m multiport -p tcp --dport 80,443,8080,119,110,25 -j ACCEPT

    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE



  19. #19
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    mas o que tem de errado no meu script que nao funciona :toim: ?

  20. #20
    Visitante

    Padrão Policiamento FORWARD é drop, mas mesmo assim funciona tudo

    esse script acima, apresenta o mesmo erro...
    não funciona.

    Grato